Od @zero_B_S nám dorazil tip na nový druh DDoS útoku HTTP/2 Bomb. Tým WEDOS Global Protection to hned otestoval a ověřil, že jsme připravení. Ke mně se to dostalo až potom, ale stejně jsem si to chtěl zkusit sám. Protože tohle není útok, který "pochopíte přes curl".

V mém malém testu 40 držených streamů přidalo cca 0,9 MB aktivní paměti HAProxy. Tedy zhruba 22 KB na stream. Samo o sobě nic dramatického. Jenže 40 streamů je nic. Běžný notebook zvládne daleko více. A HAProxy není běžný webserver :)

Malá zajímavost z mého OSINT projektu kolem hacktivistických útoků. Už jsem viděl, že některé skupiny mají vlastní privátní OSINT kanály. Nejsou to kanály na chlubení se útoky, ale spíš pracovní prostor. Lidé tam sbírají informace o možných cílech. 1/4

Dnes jsem ale narazil na něco nového. Není to privátní OSINT kanál jedné skupiny. Spíš "open source" recon feed pro celý hacktivistický ekosystém. Majitel tam sdílel API endpointy. Prostě surová technická data, která si může vzít kdokoliv další a použít je pro vlastní recon. 3/4

1/7 Po posledním tweetu o hacktivismu padla zajímavá otázka. Jak vlastně poznám, že je claim o útoku pravdivý? A tohle je jedna z nejzajímavějších částí celého projektu.

6/7 Druhý silný signál jsou Check Host reporty. check-host net / check-host cc testují dostupnost webu z různých míst světa. Když skupina postne report, můj robot kontroluji, jestli je v něm opravdu claimovaná doména. Pokud ano, dávám 50 % confidence.

1/7 Je to zhruba měsíc co sbírám data z Telegram kanálů hacktivistických skupin. Aktuálně sleduji asi 64 zdrojů. A upřímně vůbec netuším, jak velká část celého ekosystému to je. Ale už mám dost dat pro vizualizaci :)

6/7 Vizualizace ukazuje, jak je svět hacktivismu propojený. Skupiny si navzájem sdílí úspěchy, repostují seznamy cílů, podporují kampaně a tlačí podobný narativ. Není to jedna čistá struktura, spíš několik clusterů s různě silnými vazbami.